Intrusi dentro linux?!

Braga83 · 14-01-2005, 00:10

Due minuti fa mi è successa una cosa strana.... per caso ho dato un occhio a gkrellm e ho visto che mi segnava ben 4 utenti contro i 2 soliti: apro il controllo di sistema di kde e vede che in effetti c'è il mio user, root, lp con un solo processo chiamato "cupsd" ma soprattutto un certo utente "nobody" col il servizio portmap. Adesso io non sono molto pratico di linux e forse sono un po' paranoico però do' un occhiata a log di sistema e in effetti vedo che un il famoso nobody aveva fatto il login e dato il comando "su" con successo....

Ora mi chiedo:

1) E' un'intrusione quella che ho visto?
2) Se si cosa puo' aver fatto questo nobody? ( immagino di tutto se era veramente root )
3) E' possibile che sia diventato root senza scoprire la pwd?
4) Se l'ha scoperta come può aver fatto? Stiamo parlando cmq di una pwd di più di otto caratteri alfa numerici. Per comodità usavo la stessa sia per lo user che per il root ma non per altri servizi ( email ecc....)

Eppure avevo il firewall2 di suse attivo e avevo disattivato l'opzione per l'amministrazione remota.

Questo è uno stralcio del log di sistema:

Jan 12 17:15:42 linux su: (to nobody) root on none
Jan 12 17:15:42 linux su: pam_unix2: session started for user nobody, service su

Allora che ne pensate? Ma soprattutto che mi consigliate di fare per migliorare la sicurarezza? Come si fa a cambiare la psw di root?

ilsensine · 14-01-2005, 08:29

Quote:

Originariamente inviato da Braga83
1) E' un'intrusione quella che ho visto?

E' un po' poco dire che si tratta di una intrusione. Non mi sembra.

Quote:

2) Se si cosa puo' aver fatto questo nobody? ( immagino di tutto se era veramente root )

nobody è un profilo utente di sistema. Alcuni servizi girano con profilo nobody. Sulla mia Mandrake, portmap gira come utente rpc -- è possibile che la tua distribuzione lo faccia girare come nobody.
E' improbabile che ti serva portmap, puoi disabilitarlo.

Quote:

Jan 12 17:15:42 linux su: (to nobody) root on none
Jan 12 17:15:42 linux su: pam_unix2: session started for user nobody, service su

Forse è stato lanciato un servizio tramite "su nobody -c <programma>" da uno script di avvio. E' sospetto se la data non si riferisce al periodo di avvio.

Braga83 · 14-01-2005, 11:19

Quote:

Originariamente inviato da ilsensine

Forse è stato lanciato un servizio tramite "su nobody -c <programma>" da uno script di avvio. E' sospetto se la data non si riferisce al periodo di avvio.

No il Pc era stato avviato qualche ora prima. Il fatto è che avevo notato anche un'anomala attività della dsl che, nonostante avessi chiuso tutti gli applicativi che sfruttavano la banda, avevo sempre un 15-20 Kb/s occupati.

Cmq mi potersti linkare un how-to su come configurare il firewall sotto linux? Vorrei capire di più come funziona linux e poi non mi fido troppo delle impostazioni di default di suse.

ilsensine · 14-01-2005, 11:36

Quote:

Originariamente inviato da Braga83
Cmq mi potersti linkare un how-to su come configurare il firewall sotto linux? Vorrei capire di più come funziona linux e poi non mi fido troppo delle impostazioni di default di suse.

http://www.netfilter.org/documentati...ing-HOWTO.html
http://www.netfilter.org/documentati...NAT-HOWTO.html
Leggi questo se ti servono concetti di base:
http://www.netfilter.org/documentati...pts-HOWTO.html

Nota che un fw _non_ ti protegge da vulnerabilità di programmi che accedono a Internet. Metti un server web buggato ad esempio, e puoi divertirti con tutti i fw che vuoi a verificarne l'inutilità.

Braga83 · 14-01-2005, 11:56

Lo so' che il firewall non serve niente contro i programmi buggati, è per questo che aggiorno spesso il software con YastOnLine, però dovrebbe perlomeno proteggere da i vari port scan e tentativi di intrusione esterni.

Grazie mille per i link!

_YTS_ · 14-01-2005, 14:19

è vero che su un servizio buggato poco ci fai, ma talvolta e in alcuni casi, alcune configurazioni di firewall possono essere d'aiuto.

mi ricordo ad esempio un bug sploitabile da remoto di apache.....
funzionava instaurando circa una 30ina di connessioni e provando alcuni script.
bene se il servizio in questione fosse stato limitato in connessioni ricevute da uno stesso ip, esso probabilmente sarebbe risultato immune.
certo sono casi limite e da prendere con le pinzette, pero il firewall è OBBLIGATORIO.

ciao

ilsensine · 14-01-2005, 16:03

Quote:

Originariamente inviato da _YTS_
mi ricordo ad esempio un bug sploitabile da remoto di apache.....
funzionava instaurando circa una 30ina di connessioni e provando alcuni script.
bene se il servizio in questione fosse stato limitato in connessioni ricevute da uno stesso ip, esso probabilmente sarebbe risultato immune.

Non fattibile; molti servizi di connettività danno ai client un ip non connesso, ed effettuano una NAT tramite alcuni gateway. Così riceveresti parecchie connessioni da un singolo ip, però di diversi utenti.
Quello che si fa (con cautela) è limitare il numero di connessioni al secondo. Questa tecnica è utile però solo contro i DoS; se un worm fa così, allora è buggato anche il worm

14-01-2005, 00:10	#1
Braga83 Senior Member Iscritto dal: Jul 2002 Città: Provincia Tv Messaggi: 1208	Intrusi dentro linux?! Due minuti fa mi è successa una cosa strana.... per caso ho dato un occhio a gkrellm e ho visto che mi segnava ben 4 utenti contro i 2 soliti: apro il controllo di sistema di kde e vede che in effetti c'è il mio user, root, lp con un solo processo chiamato "cupsd" ma soprattutto un certo utente "nobody" col il servizio portmap. Adesso io non sono molto pratico di linux e forse sono un po' paranoico però do' un occhiata a log di sistema e in effetti vedo che un il famoso nobody aveva fatto il login e dato il comando "su" con successo.... Ora mi chiedo: 1) E' un'intrusione quella che ho visto? 2) Se si cosa puo' aver fatto questo nobody? ( immagino di tutto se era veramente root ) 3) E' possibile che sia diventato root senza scoprire la pwd? 4) Se l'ha scoperta come può aver fatto? Stiamo parlando cmq di una pwd di più di otto caratteri alfa numerici. Per comodità usavo la stessa sia per lo user che per il root ma non per altri servizi ( email ecc....) Eppure avevo il firewall2 di suse attivo e avevo disattivato l'opzione per l'amministrazione remota. Questo è uno stralcio del log di sistema: Jan 12 17:15:42 linux su: (to nobody) root on none Jan 12 17:15:42 linux su: pam_unix2: session started for user nobody, service su Allora che ne pensate? Ma soprattutto che mi consigliate di fare per migliorare la sicurarezza? Come si fa a cambiare la psw di root? __________________ Gigabyte 7n400pro, Athlon Barton 2500@3200(11x200 a), nVidia 7600 gs, 1024 ddr 3200, Maxtor 40+160 Gb 7200 rpm, Hercules Fortissimo III, Liteon 48125s, Pioneer Dvr-108,Philips 109P40 Ultima modifica di Braga83 : 14-01-2005 alle 00:12.

14-01-2005, 11:56	#5
Braga83 Senior Member Iscritto dal: Jul 2002 Città: Provincia Tv Messaggi: 1208	Lo so' che il firewall non serve niente contro i programmi buggati, è per questo che aggiorno spesso il software con YastOnLine, però dovrebbe perlomeno proteggere da i vari port scan e tentativi di intrusione esterni. Grazie mille per i link! __________________ Gigabyte 7n400pro, Athlon Barton 2500@3200(11x200 a), nVidia 7600 gs, 1024 ddr 3200, Maxtor 40+160 Gb 7200 rpm, Hercules Fortissimo III, Liteon 48125s, Pioneer Dvr-108,Philips 109P40

14-01-2005, 14:19	#6
_YTS_ Senior Member Iscritto dal: Oct 2003 Città: La Spezia Messaggi: 962	è vero che su un servizio buggato poco ci fai, ma talvolta e in alcuni casi, alcune configurazioni di firewall possono essere d'aiuto. mi ricordo ad esempio un bug sploitabile da remoto di apache..... funzionava instaurando circa una 30ina di connessioni e provando alcuni script. bene se il servizio in questione fosse stato limitato in connessioni ricevute da uno stesso ip, esso probabilmente sarebbe risultato immune. certo sono casi limite e da prendere con le pinzette, pero il firewall è OBBLIGATORIO. ciao __________________ Gigabyte ga-p55-ud6 \| Intel i7 860 \| 2x2gb Corsair xms3 \| Adaptec 2410sa \| raid1 barracuda 500gb 7200.12 \| Intel x25-m 80gb G2 \| ATI radeon 4890 \| tutto in downclock (non ho parenti all'enel)

Strumenti
Mostra una versione stampabile Invia questa pagina per email